如何使用远程医疗和住院符合HIPAA

通过亚当Uzialko,
betway必威官方网站 作家
|
2020年5月28日
图片来源:AndreyPopov / Getty Images

远程医疗是革命性的医疗方式进行,特别是在农村地区和患者活动受限。安全性和遵守HIPAA,但是,仍然是至关重要的。

随着远程医疗成为卫生保健提供者与患者互动的更常见方式——尤其是在COVID-19大流行期间——HIPAA必须成为每个卫生保健组织规划的重中之重。实现和部署远程医疗解决方案以远程医疗服务延伸到患者是现代化医院和医疗实践非常重要;然而,推出了远程医疗服务必须安全,并符合HIPAA完成。本指南将解释你需要做的,以确保遵守HIPPA的三件事情,以及HIPAA的基本知识和规则,目前如何适用于远程医疗服务。

是远程医疗的符合HIPAA?

远程医疗可以肯定是符合HIPAA隐私和安全标准。然而,它对电子保护的健康信息(ePHI的)安全显著风险,所以执行首次远程医疗解决方案时,医疗机构必须小心。

在成功实施了远程医疗解决方案的第一步是确保它是安全的。这意味着执行以下操作:

  • 确定协商和相关通信如何虚拟将被固定在途
  • 确定在会诊结束后记录的会诊以及所有相关临床文件和数据的存储方式
  • 对与远程医疗有关的通信进行持续监测,并努力防止或应对涉及以弗所的恶意数据泄露

当您检查任何远程医疗平台或软件时,务必书面详细确认第三方服务如何达到这些标准。您必须了解it如何在传输和存储中保护数据,以及它如何监视和保护数据(或者您自己的it团队是否负责减轻威胁和数据泄露)。

编者按:您的医疗机构需要远程医疗解决方案吗?请填写以下问卷,以便我们的供应商合作伙伴与我们联系,了解更多信息。

什么类型的远程医疗通信会违反HIPAA?

远程医疗预约违反了HIPAA,无论是在运输过程中还是在休息时,或者当未经授权的用户能够访问与虚拟医疗相关的信息时,远程医疗预约都受到了不适当的保护。文本、音频、图像和视频都可以被认为是ePHI,取决于内容。因此,远程医疗平台上通信的每个方面都必须通过安全的消息传递加以保护。

为了防止医疗记录或恶意数据破坏和网络攻击的意外泄露,医疗机构有责任维护所有ePHI的其网络传送或存储在任何设备的全面视图。加密和精心设计的管理政策和程序,可以帮助组合防止非法披露或远程医疗会议期间未经授权的访问ePHI的。

你怎么能保持HIPAA的同时使用远程医疗?

下面是你需要做的远程医疗技术时遵守HIPAA的三件事情。betway必威官网手机版app

  1. 选择一个安全的平台或软件。无论您是在寻找用于远程保健的简单移动解决方案,还是具有用于高级咨询的诊断工具的复杂远程医疗平台,安全性都是至关重要的。确保您清楚地了解在存储和通信期间如何通过加密和其他技术手段保护数据。

  2. 限制对敏感信息的访问。世界上所有的技术安全措施都不会对你有任何好处,如果错误的人进入ePHI。您必须围绕授权访问与远程卫生服务有关的任何ePHI的世卫组织制定一套明确的政策和程序,以及访问的时间和原因。严格的文件访问ePHI,这样你可以很容易地证明遵守监管机构。

  3. 确认已启动监控程序,并在发生数据泄露或网络攻击时制定了网络安全策略。无论该流程是第三方远程医疗服务提供商的领域,还是您的内部IT团队的领域,了解细节和计划的重新检查频率,以证明您正在进行的遵从性,都是至关重要的。

远程医疗将继续存在,安全是至关重要的

如果以前对远程医疗在现代医疗保健行业中的重要性有任何疑问的话,COVID-19大流行表明它将继续存在。虽然随着越来越多的医疗保健组织采用远程医疗,远程医疗也在不断发展和改变,但安全性仍然是讨论的核心。

远程医疗可作为一种有效工具,将服务不足的地区和行动不便的患者与医疗保健提供者联系起来,也可作为医院和医疗实践提高效率和减少浪费的一种方式。然而,为了充分实现这些好处,医疗保健组织必须以一种安全的方式实施远程医疗服务,使其遵守HIPAA,并增强患者对其数据在任何时候都得到充分保护的信心。

HIPAA是什么?

1996年的健康保险流通与责任法案是在美国法律上的医疗数据保密的最重要的联邦法律制定了保护敏感患者健康信息的国家标准在病人不知情或不同意的情况下披露。

HIPAA隐私规则

一个HIPAA中央规定的隐私规则,它成立于2000年的隐私规则标识覆盖的实体,如医院,医疗行为,保险公司和票据交换所。有顶棚的实体是受一套标准,它旨在保护患者的敏感数据,或‘受保护的健康信息。’

《HIPAA隐私规则》允许受保护实体在以下具体情况下使用和披露受保护的健康信息:

  • 向信息当事人披露:医疗机构被允许透露的健康信息,以个别病人。他们如果需要访问或会计信息披露的还必须披露这些信息。

  • 治疗、付款和保健业务:当需要披露受保护的医疗保健信息以进行治疗(如订购药物)或支付(如计费保险公司)时,允许医疗保健组织披露这些信息。

  • 同意或反对披露的机会:通过直接要求或给予个人同意或反对披露的机会,医疗保健组织可以获得非正式许可,从个人那里披露受保护的健康信息。

  • 公众利益和福利:在披露本应受到保护的健康信息方面,有12种情况构成公共利益。其中包括家庭暴力、执法要求、研究和工人赔偿。

  • 合规性用途:涉及的实体被允许保护的健康信息透露给健康与人类服务部(HHS)的部门合规的目的。

除上述情况外,未经患者事先授权,所涉实体不得披露任何受保护的健康信息。

在HIPAA安全规则

HIPAA的另一个重要元素是2003年定稿的安全规则。与隐私规则一样,安全规则侧重于受保护的健康信息。然而,与组织如何能够或不能披露信息不同,安全规则管理组织必须如何保护存储和传输中的数据。这些数据有时被称为“电子保护健康信息”或“ePHI”。

根据安全规则,所涵盖的实体必须遵守以下标准:

  • 保护电子保护的健康信息的保密性。
  • 识别和减轻对ePHI安全的预期威胁。
  • 防止预期的未经授权的访问,使用和披露的ePHI。
  • 文档和整个组织的Certify劳动力合规性。

根据HIPAA没有明确的加密要求;根据《HIPAA杂志》的说法,他们故意含糊其词,并且对解释技术进步持开放态度。betway必威官网手机版app美国卫生和公众服务部允许各组织为其特定系统选择最适当的保护措施,而不是将医疗保健组织与可能很快就会过时的加密要求挂钩。为了遵从性的目的,必须提供这些安全措施的文档。

国家标准技术研究所betway必威官网手机版app建议使用高级加密标准(AES)128,192或256位加密,以及打开PHP和S / MIME的。

执行违反HIPAA的规定

该HHS民权办公室负责执行隐私规则和HIPAA下安全规则。迄今为止,OCR审查超过230,000 HIPAA投诉,导致纠正措施,以医疗机构的政策和程序,以及对司法部转介潜在的犯罪行为HIPAA的。

OCR有能力对违反HIPAA规则的行为进行经济处罚。有四类违法行为覆盖的实体可以犯根据HIPAA杂志,以及与每个层相关联的罚款:

  • 1级:这是一个被涵盖实体没有意识到的违规,并且即使采取合理的谨慎,也不可能实际地避免。每次违章最低罚款100美元,最高罚款5万美元。

  • 2级:这是被担保实体应该意识到的一种违反,但即使合理谨慎(除非故意忽视HIPAA规则)也无法避免。每次违章的最低罚款为1000美元,最高罚款为50,000美元。

  • 第三层:这种类型的违反是故意忽视HIPAA规则的直接结果,在试图纠正违反的情况下。每次违章的最低罚款为1万美元,最高罚款为5万美元。

  • 第四层:这违反了HIPAA规则,构成了故意忽视,没有试图纠正这种违反。每次违规的最低罚款为5万美元。

商业网站的自由编辑。betway必威官方网站负责管理自由撰稿人的预算,编辑自由撰稿人和撰稿人的内容,起草原创文章。还创建产品和服务评论,以协助business.com读者购买决策为他们的企业。betway必威官方网站CannaContent是一家致力于大麻、大麻和CBD产业的数字营销公司,该公司的副总裁和联合创始人。特别关注公司的内容营销部门,为整个供应链的客户创建博客、新闻稿和网站副本。是猫科动物的忠实粉丝和不可或缺的盟友。音乐爱好者,中等的吉他手,和自发的歌手。喜欢科幻和幻想的微型画家。喜欢读那些留着大胡子的人写的旧书的纸上谈兵的政治哲学家问我关于写作的所有事情!
喜欢这篇文章吗?注册更多精彩内容。加入我们的社区betway必威游戏已经一个成员吗?登入。